SentinelOne EDR-Protokolle erfassen

Unterstützt in:

In diesem Dokument wird beschrieben, wie Sie SentinelOne-Protokolle mithilfe von SentinelOne Cloud Funnel nach Google Cloud Storage exportieren. Da SentinelOne keine integrierte Integration zum direkten Export von Protokollen in Google Cloud Storage bietet, dient Cloud Funnel als Zwischendienst, um Protokolle an Cloud Storage zu senden.

Vorbereitung

  • Sie benötigen eine Google SecOps-Instanz.
  • Sie benötigen Berechtigungen für die Google Cloud -Plattform.
  • Sie benötigen erhöhte Zugriffsrechte für SentinelOne.

Berechtigungen für Cloud Funnel für den Zugriff auf Cloud Storage konfigurieren

  1. Melden Sie sich in der Google Cloud Console an.
  2. Rufen Sie IAM und Verwaltung auf.
  3. Fügen Sie auf der Seite IAM eine neue IAM-Rolle für das Cloud Funnel-Dienstkonto hinzu:
    • Weisen Sie Berechtigungen vom Typ Storage-Objekt-Ersteller zu.
    • Optional: Weisen Sie die Rolle Storage-Objekt-Betrachter zu, wenn Cloud Funnel Objekte aus dem Bucket lesen soll.
  4. Gewähren Sie diese Berechtigungen dem Cloud Funnel-Dienstkonto.

Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.
  2. Gehen Sie zu Speicher > Browser.
  3. Klicken Sie auf Bucket erstellen.
  4. Geben Sie die folgenden Konfigurationen an:
    • Bucket-Name: Wählen Sie einen eindeutigen Namen für den Bucket aus, z. B. sentinelone-logs.
    • Speicherort: Wählen Sie die Region aus, in der sich der Bucket befinden soll, z. B. US-West1.
    • Speicherklasse: Wählen Sie die Speicherklasse Standard aus.
  5. Klicken Sie auf Erstellen.

Cloud Funnel in SentinelOne konfigurieren

  1. Klicken Sie in der SentinelOne Console auf Einstellungen.
  2. Suchen Sie unter Integrationen nach der Option Cloud-Trichter.
  3. Klicken Sie auf Cloud-Trichter aktivieren, falls die Funktion noch nicht aktiviert ist.
  4. Danach werden Sie aufgefordert, die Zielanwendungen zu konfigurieren.
    • Ziel auswählen: Wählen Sie Google Cloud Storage als Ziel für den Export von Protokollen aus.
    • Google Cloud Storage: Geben Sie die Google Cloud Storage-Anmeldedaten an.
    • Häufigkeit des Log-Exports: Legen Sie die Häufigkeit für den Export von Protokollen fest (z. B. stündlich oder täglich).

Cloud-Trichter-Logexport konfigurieren

  1. Legen Sie in der SentinelOne Console im Bereich Cloud-Trichterkonfiguration Folgendes fest:
    • Häufigkeit des Log-Exports: Legen Sie fest, wie oft Protokolle exportiert werden sollen (z. B. jede Stunde oder jeden Tag).
    • Logformat: Wählen Sie das JSON-Format aus.
    • Bucket-Name: Geben Sie den Namen des zuvor erstellten Google Cloud Storage-Buckets ein, z. B. sentinelone-logs.
    • Optional: Logpfad-Präfix: Geben Sie ein Präfix an, um Protokolle im Bucket zu organisieren (z. B. sentinelone-logs/).
  2. Klicken Sie nach der Konfiguration der Einstellungen auf Speichern, um die Änderungen anzuwenden.

Feed in Google SecOps konfigurieren, um Sentinel EDR-Logs aufzunehmen

  1. Gehen Sie zu SIEM-Einstellungen > Feeds.
  2. Klicken Sie auf Neu hinzufügen.
  3. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Sentinel EDR-Protokolle.
  4. Wählen Sie Google Cloud Storage als Quelltyp aus.
  5. Wählen Sie Sentinel EDR als Protokolltyp aus.
  6. Klicken Sie als Chronicle-Dienstkonto auf Dienstkonto abrufen.
  7. Klicken Sie auf Weiter.

  8. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage Bucket-URI: Cloud Storage-Bucket-URL im Format gs://my-bucket/<value>.
    • URI ist: Wählen Sie Verzeichnis mit Unterverzeichnissen aus.

    • Optionen zum Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Asset-Namespace: der Asset-Namespace.

    • Aufnahmelabels: Das Label, das auf die Ereignisse aus diesem Feed angewendet wird.

  9. Klicken Sie auf Weiter.

  10. Prüfen Sie die neue Feedkonfiguration auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
event.contentHash.sha256 target.process.file.sha256 Der SHA-256-Hash der Datei des Zielprozesses, der aus dem Feld event.contentHash.sha256 im Rohprotokoll extrahiert wurde.
event.decodedContent target.labels Der decodierte Inhalt eines Scripts, der aus dem Feld event.decodedContent im Rohprotokoll extrahiert wurde. Es wird dem Zielobjekt als Label mit dem Schlüssel Decoded Content hinzugefügt.
event.destinationAddress.address target.ip Die IP-Adresse des Ziels, extrahiert aus dem Feld event.destinationAddress.address im Rohprotokoll.
event.destinationAddress.port target.port Der Port des Ziels, der aus dem Feld event.destinationAddress.port im Rohprotokoll extrahiert wurde.
event.method network.http.method Die HTTP-Methode des Ereignisses, extrahiert aus dem Feld event.method im Rohprotokoll.
event.newValueData target.registry.registry_value_data Die neuen Wertdaten des Registrierungswerts, die aus dem Feld event.newValueData im Rohprotokoll extrahiert wurden.
event.process.commandLine target.process.command_line Die Befehlszeile des Prozesses, extrahiert aus dem Feld event.process.commandLine im Rohprotokoll.
event.process.executable.hashes.md5 target.process.file.md5 Der MD5-Hash der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.hashes.md5 im Rohprotokoll extrahiert wurde.
event.process.executable.hashes.sha1 target.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.hashes.sha1 im Rohprotokoll extrahiert wird.
event.process.executable.hashes.sha256 target.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.hashes.sha256 im Rohprotokoll extrahiert wurde.
event.process.executable.path target.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Prozesses, der aus dem Feld event.process.executable.path im Rohprotokoll extrahiert wurde.
event.process.executable.sizeBytes target.process.file.size Die Größe der ausführbaren Datei des Prozesses, extrahiert aus dem Feld event.process.executable.sizeBytes im Rohprotokoll.
event.process.fullPid.pid target.process.pid Die PID des Prozesses, extrahiert aus dem Feld event.process.fullPid.pid im Rohprotokoll.
event.query network.dns.questions.name Die DNS-Abfrage, die aus dem Feld event.query im Rohprotokoll extrahiert wurde.
event.regKey.path target.registry.registry_key Der Pfad des Registry-Schlüssels, der aus dem Feld event.regKey.path im Rohprotokoll extrahiert wurde.
event.regValue.key.value target.registry.registry_name, target.registry.registry_value_name Der Name des Registry-Werts, der aus dem Feld event.regValue.key.value im Rohprotokoll extrahiert wurde.
event.regValue.path target.registry.registry_key Der Pfad des Registrierungswerts, der aus dem Feld event.regValue.path im Rohprotokoll extrahiert wurde.
event.results network.dns.answers.data Die DNS-Antworten, die aus dem Feld event.results im Rohprotokoll extrahiert wurden. Die Daten werden mit dem Trennzeichen „;“ in einzelne Antworten aufgeteilt.
event.source.commandLine principal.process.command_line Die Befehlszeile des Quellprozesses, extrahiert aus dem Feld event.source.commandLine im Rohprotokoll.
event.source.executable.hashes.md5 principal.process.file.md5 Der MD5-Hash der ausführbaren Datei des Quellprozesses, extrahiert aus dem Feld event.source.executable.hashes.md5 im Rohprotokoll.
event.source.executable.hashes.sha1 principal.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.hashes.sha1 im Rohprotokoll extrahiert wurde.
event.source.executable.hashes.sha256 principal.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.hashes.sha256 im Rohprotokoll extrahiert wurde.
event.source.executable.path principal.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Quellprozesses, der aus dem Feld event.source.executable.path im Rohprotokoll extrahiert wurde.
event.source.executable.signature.signed.identity principal.resource.attribute.labels Die signierte Identität der ausführbaren Datei des Quellprozesses, die aus dem Feld event.source.executable.signature.signed.identity im Rohprotokoll extrahiert wird. Es wird den Labels der Hauptressourcenattribute als Label mit dem Schlüssel Source Signature Signed Identity hinzugefügt.
event.source.executable.sizeBytes principal.process.file.size Die Größe der ausführbaren Datei des Quellprozesses, extrahiert aus dem Feld event.source.executable.sizeBytes im Rohprotokoll.
event.source.fullPid.pid principal.process.pid Die PID des Quellprozesses, extrahiert aus dem Feld event.source.fullPid.pid im Rohprotokoll.
event.source.parent.commandLine principal.process.parent_process.command_line Die Befehlszeile des übergeordneten Prozesses der Quelle, extrahiert aus dem Feld event.source.parent.commandLine im Rohprotokoll.
event.source.parent.executable.hashes.md5 principal.process.parent_process.file.md5 Der MD5-Hash der ausführbaren Datei des übergeordneten Quellprozesses, der aus dem Feld event.source.parent.executable.hashes.md5 im Rohprotokoll extrahiert wurde.
event.source.parent.executable.hashes.sha1 principal.process.parent_process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des übergeordneten Quellprozesses, der aus dem Feld event.source.parent.executable.hashes.sha1 im Rohprotokoll extrahiert wurde.
event.source.parent.executable.hashes.sha256 principal.process.parent_process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des übergeordneten Prozesses der Quelle, der aus dem Feld event.source.parent.executable.hashes.sha256 im Rohprotokoll extrahiert wurde.
event.source.parent.executable.signature.signed.identity principal.resource.attribute.labels Die signierte Identität der ausführbaren Datei des übergeordneten Quellprozesses, die aus dem Feld event.source.parent.executable.signature.signed.identity im Rohprotokoll extrahiert wird. Es wird den Labels der Hauptressourcenattribute als Label mit dem Schlüssel Source Parent Signature Signed Identity hinzugefügt.
event.source.parent.fullPid.pid principal.process.parent_process.pid Die PID des übergeordneten Prozesses der Quelle, extrahiert aus dem Feld event.source.parent.fullPid.pid im Rohprotokoll.
event.source.user.name principal.user.userid Der Nutzername des Nutzers des Quellprozesses, der aus dem Feld event.source.user.name im Rohprotokoll extrahiert wurde.
event.source.user.sid principal.user.windows_sid Die Windows-SID des Nutzers des Quellprozesses, extrahiert aus dem Feld event.source.user.sid im Rohprotokoll.
event.sourceAddress.address principal.ip Die IP-Adresse der Quelle, die aus dem Feld event.sourceAddress.address im Rohprotokoll extrahiert wurde.
event.sourceAddress.port principal.port Der Port der Quelle, der aus dem Feld event.sourceAddress.port im Rohprotokoll extrahiert wurde.
event.target.executable.hashes.md5 target.process.file.md5 Der MD5-Hash der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.hashes.md5 im Rohprotokoll extrahiert wurde.
event.target.executable.hashes.sha1 target.process.file.sha1 Der SHA-1-Hash der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.hashes.sha1 im Rohprotokoll extrahiert wurde.
event.target.executable.hashes.sha256 target.process.file.sha256 Der SHA-256-Hash der ausführbaren Datei des Zielprozesses, extrahiert aus dem Feld event.target.executable.hashes.sha256 im Rohprotokoll.
event.target.executable.path target.process.file.full_path Der vollständige Pfad der ausführbaren Datei des Zielprozesses, der aus dem Feld event.target.executable.path im Rohprotokoll extrahiert wurde.
event.target.executable.signature.signed.identity target.resource.attribute.labels Die signierte Identität der ausführbaren Datei des Zielprozesses, die aus dem Feld event.target.executable.signature.signed.identity im Rohprotokoll extrahiert wird. Es wird den Attributlabels der Zielressource als Label mit dem Schlüssel Target Signature Signed Identity hinzugefügt.
event.target.executable.sizeBytes target.process.file.size Die Größe der ausführbaren Datei des Zielprozesses, extrahiert aus dem Feld event.target.executable.sizeBytes im Rohprotokoll.
event.target.fullPid.pid target.process.pid Die PID des Zielprozesses, die aus dem Feld event.target.fullPid.pid im Rohprotokoll extrahiert wird.
event.targetFile.path target.file.full_path Der vollständige Pfad der Zieldatei, der aus dem Feld event.targetFile.path im Rohprotokoll extrahiert wurde.
event.targetFile.signature.signed.identity target.resource.attribute.labels Die signierte Identität der Zieldatei, die aus dem Feld event.targetFile.signature.signed.identity im Rohprotokoll extrahiert wurde. Es wird den Attributlabels der Zielressource als Label mit dem Schlüssel Target File Signature Signed Identity hinzugefügt.
event.trueContext.key.value Nicht dem UDM zugeordnet.
event.type metadata.description Der Ereignistyp, der aus dem Feld event.type im Rohprotokoll extrahiert wurde.
event.url target.url Die URL des Ereignisses, extrahiert aus dem Feld event.url im Rohprotokoll.
meta.agentVersion metadata.product_version, metadata.product_version Die Version des Agents, extrahiert aus dem Feld meta.agentVersion im Rohprotokoll.
meta.computerName principal.hostname, target.hostname Der Hostname des Computers, der aus dem Feld meta.computerName im Rohprotokoll extrahiert wurde.
meta.osFamily principal.asset.platform_software.platform, target.asset.platform_software.platform Die Betriebssystemfamilie des Computers, extrahiert aus dem Feld meta.osFamily im Rohprotokoll. Es ist LINUX für linux und WINDOWS für windows zugeordnet.
meta.osRevision principal.asset.platform_software.platform_version, target.asset.platform_software.platform_version Die Betriebssystemversion des Computers, extrahiert aus dem Feld meta.osRevision im Rohprotokoll.
meta.traceId metadata.product_log_id Die Trace-ID des Ereignisses, die aus dem Feld meta.traceId im Rohprotokoll extrahiert wurde.
meta.uuid principal.asset.product_object_id, target.asset.product_object_id Die UUID des Computers, extrahiert aus dem Feld meta.uuid im Rohprotokoll.
metadata_event_type metadata.event_type Der Ereignistyp, der von der Parserlogik basierend auf dem Feld event.type festgelegt wird.
metadata_product_name metadata.product_name Der Name des Produkts, der von der Parserlogik auf Singularity XDR festgelegt wird.
metadata_vendor_name metadata.vendor_name Der Name des Anbieters, der von der Parserlogik auf SentinelOne festgelegt wird.
network_application_protocol network.application_protocol Das Anwendungsprotokoll der Netzwerkverbindung, das von der Parserlogik für DNS-Ereignisse auf DNS festgelegt wird.
network_dns_questions.name network.dns.questions.name Der Name der DNS-Frage, der aus dem Feld event.query im Rohprotokoll extrahiert wurde.
network_direction network.direction Die Richtung der Netzwerkverbindung, die von der Parserlogik auf OUTBOUND für ausgehende Verbindungen und INBOUND für eingehende Verbindungen festgelegt wird.
network_http_method network.http.method Die HTTP-Methode des Ereignisses, extrahiert aus dem Feld event.method im Rohprotokoll.
principal.process.command_line target.process.command_line Die Befehlszeile des Hauptprozesses, die aus dem Feld principal.process.command_line extrahiert und der Befehlszeile des Zielprozesses zugeordnet wird.
principal.process.file.full_path target.process.file.full_path Der vollständige Pfad der Datei des Hauptprozesses, der aus dem Feld principal.process.file.full_path extrahiert und dem vollständigen Pfad der Zielprozessdatei zugeordnet wird.
principal.process.file.md5 target.process.file.md5 Der MD5-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.md5 extrahiert und dem MD5-Hash der Zielprozessdatei zugeordnet wird.
principal.process.file.sha1 target.process.file.sha1 Der SHA-1-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.sha1 extrahiert und dem SHA-1 der Zielprozessdatei zugeordnet wird.
principal.process.file.sha256 target.process.file.sha256 Der SHA-256-Hash der Datei des Hauptprozesses, der aus dem Feld principal.process.file.sha256 extrahiert und dem SHA-256 der Zielprozessdatei zugeordnet wird.
principal.process.file.size target.process.file.size Die Größe der Datei des Hauptprozesses, die aus dem Feld principal.process.file.size extrahiert und der Dateigröße des Zielprozesses zugeordnet wird.
principal.process.pid target.process.pid Die PID des Hauptprozesses, die aus dem Feld principal.process.pid extrahiert und der PID des Zielprozesses zugeordnet wird.
principal.user.userid target.user.userid Die Nutzer-ID des Principals, die aus dem Feld principal.user.userid extrahiert und der Zielnutzer-ID zugeordnet wird.
principal.user.windows_sid target.user.windows_sid Die Windows-SID des Hauptkontos, die aus dem Feld principal.user.windows_sid extrahiert und der Windows-SID des Zielnutzers zugeordnet wird.

Änderungen

2024-07-29

Optimierung:

  • Wenn registry.keyPath oder registry.value nicht null ist, wird nur metadata.event_type zu REGISTRY_CREATION zugeordnet.

2024-07-23

Optimierung:

  • agentDetectionInfo.agentOsName wurde target.platform_version zugeordnet.
  • agentDetectionInfo.agentLastLoggedInUserName wurde target.user.userid zugeordnet.

2024-07-09

Fehlerkorrektur:

  • Zuordnung für suser von principal.user.userid zu target.user.userid geändert.
  • Zuordnung für suser von principal.user.user_display_name zu target.user.user_display_name geändert.
  • Zuordnung für accountId aus target.user.userid entfernt
  • prin_user wurde principal.user.userid zugeordnet.

2024-06-03

Optimierung:

  • suser wurde principal.user.userid zugeordnet.
  • accountId wurde target.user.userid zugeordnet.
  • MessageSourceAddress wurde principal.ip zugeordnet.
  • machine_host wurde principal.hostname zugeordnet.

2024-05-20

Optimierung:

  • event.dns.response wurde network.dns.answers.data zugeordnet.

2024-05-06

Optimierung:

  • Unterstützung für ein neues Muster von JSON-Protokollen hinzugefügt.

2024-03-22

Optimierung:

  • Neues Grok-Muster zum Parsen des neuen Formats von tab-getrennten KV-Logs hinzugefügt.
  • osName wurde src.platform zugeordnet.

2024-03-15

Optimierung:

  • site.id:account.id:agent.uuid:tgt.process.uid wurde target.process.product_specific_process_id zugeordnet.
  • site.id:account.id:agent.uuid:src.process.uid wurde principal.process.product_specific_process_id zugeordnet.
  • site.id:account.id:agent.uuid:src.process.parent.uid wurde principal.process.parent_process.product_specific_process_id zugeordnet.
  • Die Zuordnung von src.process.cmdline zu target.process.command_line wurde aufgehoben.

2023-11-09

  • Lösung:
  • tgt.process.user wurde target.user.userid zugeordnet.

2023-10-30

  • Lösung:
  • Vor der Zuordnung zu UDM wurde bei principal_port eine Prüfung auf „Nicht null“ hinzugefügt.
  • Wenn event.category url und meta.event.name HTTP ist, wird metadata.event_type NETWORK_HTTP zugeordnet.

2023-09-06

  • Zuordnung von tgt.process.storyline.id zu security_result.about.resource.attribute.labels hinzugefügt.
  • Die Zuordnung von src.process.storyline.id wurde von principal.process.product_specific_process_id zu security_result.about.resource.attribute.labels geändert.
  • Die Zuordnung von src.process.parent.storyline.id wurde von principal.parent.process.product_specific_process_id zu security_result.about.resource.attribute.labels geändert.

2023-08-31

  • indicator.category wurde security_result.category_details zugeordnet.

2023-08-03

  • event_data.login.loginIsSuccessful wurde auf null initialisiert.
  • module.path wurde target.process.file.full_path und target.file.full_path zugeordnet, wobei event.type = Module Load ist.
  • module.sha1 wurde target.process.file.sha1 und target.file.sha1 zugeordnet, wobei event.type Module Load ist.
  • metadata.event_type wurde PROCESS_MODULE_LOAD zugeordnet, wobei event.type = Module Load ist.
  • registry.keyPath wurde für REGISTRY_* Ereignisse target.registry.registry_key zugeordnet.
  • registry.value wurde für REGISTRY_* Ereignisse target.registry.registry_value_data zugeordnet.
  • event.network.protocolName wurde network.application_protocol zugeordnet.
  • principal.platform und principal.asset.platform_software.platform werden LINUX zugeordnet, wenn endpoint.os = linux ist.
  • event.login.userName wird target.user.userid zugeordnet, wenn event.type Login oder Logout. ist
  • target.hostname wird zugeordnet, indem der Hostname von url.address abgerufen wird, wenn event.type GET, OPTIONS, POST, PUT, DELETE, CONNECT oder HEAD ist.

2023-06-09

  • osSrc.process.parent.publisher wurde principal.resource.attribute.labels zugeordnet.
  • src.process.rUserName/src.process.eUserName/src.process.lUserName wurde principal.user.user_display_name zugeordnet.
  • Es wurde eine Prüfung für die Felder src.process.eUserId, src.process.lUserId und tgt.process.rUserUid vor der Zuordnung zu UDM hinzugefügt.
  • tgt.file.location, registry.valueFullSize und registry.valueType wurden target.resource.attribute.labels zugeordnet.
  • indicator.description wurde security_result.summary zugeordnet.
  • metadata.event_type wurde SCAN_NETWORK zugeordnet, wobei event.type = Behavioral Indicators ist.
  • metadata.event_type wurde SCAN_UNCATEGORIZED zugeordnet, wobei event.type = Command Script ist.
  • Initialisierte Felder meta.osFamily, meta.osRevision, event.type
  • Dem Datumsfilter wurde ISO8601 hinzugefügt, um den ISO8601-Zeitstempel zu parsen.
  • „on_error“ zur Stringkonvertierung von @timestamp hinzugefügt.
  • „on_error“ wurde der vorherigen Zuordnung für meta.uuid hinzugefügt.

2023-05-25

  • event.source.commandLine wurde principal.process.command_line zugeordnet.
  • event.source.executable.path wurde principal.process.file.full_path zugeordnet.
  • Setzen Sie metadata.event_type auf PROCESS_OPEN, wobei event.type = openProcess ist.
  • site.name:site.id wurde principal.namespace zugeordnet, wenn sowohl site.name als auch site.id nicht null sind.
  • event.network.direction wurde network.direction zugeordnet.
  • meta.event.name wurde metadata.description zugeordnet.
  • task.name wurde target.resource.name zugeordnet.
  • agent.uuid wurde principal.asset.product_object_id zugeordnet.
  • src.process.publisher wurde principal.resource.attribute.labels zugeordnet.
  • src.process.cmdline wurde target.process.command_line zugeordnet.
  • mgmt.osRevision wurde principal.asset.platform_software.platform_version zugeordnet.
  • security_result.category wurde dem Wert indicator.category zugeordnet.
  • event.dns.response wurde network.dns.answers zugeordnet.
  • registry.keyPath wurde target.registry.registry_key zugeordnet.
  • event.id wurde target.registry.registry_value_name zugeordnet.

2023-04-27

  • event.type wurde für Cloud Funnel v2-Logs auf metadata.product_event_type umgestellt.

2023-04-20

Optimierung:

  • Für das Feld data.ipAddress wurde eine bedingte Prüfung auf „null“ und „-“ hinzugefügt.
  • Grok-Bedingte Prüfung für das Feld sourceMacAddresses hinzugefügt.

2023-03-02

Optimierung:

  • Wenn (event.type = tcpv4 und event.direction = INCOMING) oder event.type (processExit|processTermination|processModification|duplicate) enthält, wird event.source.executable.signature.signed.identity target.resource.attribute.labels zugeordnet, andernfalls principal.resource.attribute.labels.
  • Zugewiesen event.parent.executable.signature.signed.identity, event.process.executable.signature.signed.identity toprincipal.resource.attribute.labels,
  • event.targetFile.signature.signed.identity, event.target.executable.signature.signed.identity und event.target.parent.executable.signature.signed.identity wurden target.resource.attribute.labels zugeordnet.

2023-02-24

Fehlerkorrektur:

  • Der Code wurde umgestaltet, um klar zwischen den Protokollversionen zu unterscheiden.
  • Für Cloud-Trichter-V2-Logs vom Typ „USER_LOGIN“ wurden event.login.lognIsSuccessful-Details security_result.action und security_result.summary zugeordnet.

2023-02-13

Fehlerkorrektur:

  • Cloud-Trichter-V1-Protokolle wurden nach Bedarf geparst.
  • Alle HTTP-Protokolle werden NETWORK_HTTP zugeordnet.
  • Das URL-Feld für NETWORK_HTTP sollte target.url und nicht metadata.url_back_to_product zugeordnet sein.

2023-01-20

Optimierung:

  • Das Feld „event.url“ wurde auf „target.hostname“ und „target.url“ zugeordnet.
  • „metadata.event_type“ wurde in „NETWORK_HTTP“ umgewandelt, wenn „event.type“ == „http“.

2023-01-16

Fehlerkorrektur:

  • mgmt.url wurde metadata.url_back_to_product statt target.url zugeordnet.
  • site.name wurde principal.location.name zugeordnet.
  • src.process.rUserUid wurde principal.user.userid zugeordnet.
  • src.process.eUserId wurde principal.user.userid zugeordnet.
  • src.process.lUserId wurde principal.user.userid zugeordnet.
  • src.process.parent.rUserUid wurde metadata.ingestion_labels zugeordnet.
  • src.process.parent.eUserId wurde metadata.ingestion_labels zugeordnet.
  • src.process.parent.lUserId wurde metadata.ingestion_labels zugeordnet.
  • tgt.process.rUserUid wurde target.user.userid zugeordnet.
  • tgt.process.eUserId wurde target.user.userid zugeordnet.
  • tgt.process.lUserId wurde target.user.userid zugeordnet.
  • Wenn event.type = Process Creation, wird metadata.event_type = PROCESS_LAUNCH zugeordnet.
  • Wenn event.type = Duplicate Process Handle, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Duplicate Thread Handle, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Open Remote Process Handle, wird metadata.event_type = PROCESS_OPEN zugeordnet.
  • Wenn event.type = Remote Thread Creation, wird metadata.event_type = PROCESS_LAUNCH zugeordnet.
  • Wenn event.type = Command Script ist, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = IP Connect ist, wird metadata.event_type = NETWORK_CONNECTION zugeordnet.
  • Wenn event.type = IP Listen ist, wird metadata.event_type = NETWORK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = File ModIfication, wird metadata.event_type = FILE_MODIfICATION zugeordnet.
  • Wenn event.type = File Creation ist, wird metadata.event_type = FILE_CREATION zugeordnet.
  • Wenn event.type = File Scan, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = File Deletion, wird metadata.event_type = FILE_DELETION zugeordnet.
  • Wenn event.type = File Rename, wird metadata.event_type = FILE_MODIfICATION zugeordnet.
  • Wenn event.type = Pre Execution Detection, wird metadata.event_type = FILE_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Login ist, wird metadata.event_type = USER_LOGIN zugeordnet.
  • Wenn event.type = Logout, wird metadata.event_type = USER_LOGOUT zugeordnet.
  • Wenn event.type = GET ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = OPTIONS, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = POST, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = PUT ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = DELETE, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = CONNECT ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = HEAD ist, wird metadata.event_type = NETWORK_HTTP zugeordnet.
  • Wenn event.type = Not Reported ist, wird metadata.event_type = STATUS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = DNS Resolved, wird metadata.event_type = NETWORK_DNS zugeordnet.
  • Wenn event.type = DNS Unresolved ist, wird metadata.event_type = NETWORK_DNS zugeordnet.
  • Wenn event.type = Task Register, wird metadata.event_type = SCHEDULED_TASK_CREATION zugeordnet.
  • Wenn event.type = Task Update, wird metadata.event_type = SCHEDULED_TASK_MODIfICATION zugeordnet.
  • Wenn event.type = Task Start, wird metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Task Trigger ist, wird metadata.event_type = SCHEDULED_TASK_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Task Delete, wird metadata.event_type = SCHEDULED_TASK_DELETION zugeordnet.
  • Wenn event.type = Registry Key Create, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Key Rename, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Key Delete, wird metadata.event_type = REGISTRY_DELETION zugeordnet.
  • Wenn event.type = Registry Key Export, wird metadata.event_type = REGISTRY_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Registry Key Security Changed ist, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Key Import, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Value ModIfied, wird metadata.event_type = REGISTRY_MODIfICATION zugeordnet.
  • Wenn event.type = Registry Value Create, wird metadata.event_type = REGISTRY_CREATION zugeordnet.
  • Wenn event.type = Registry Value Delete, wird metadata.event_type = REGISTRY_DELETION zugeordnet.
  • Wenn event.type = Behavioral Indicators, wird metadata.event_type = SCAN_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Module Load, wird metadata.event_type = PROCESS_MODULE_LOAD zugeordnet.
  • Wenn event.type = Threat Intelligence Indicators ist, wird metadata.event_type = SCAN_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Named Pipe Creation ist, wird metadata.event_type = PROCESS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Named Pipe Connection, wird metadata.event_type = PROCESS_UNCATEGORIZED zugeordnet.
  • Wenn event.type = Driver Load ist, wird metadata.event_type = PROCESS_MODULE_LOAD zugeordnet.

2022-11-30

Optimierung:

  • Der Parser wurde um die folgenden Felder erweitert, um die in Version 2 aufgenommenen Protokolle zu unterstützen.
  • account.id wurde metadata.product_deployment_id zugeordnet.
  • agent.uuid wurde principal.asset.asset_id zugeordnet.
  • dst.ip.address wurde target.ip zugeordnet.
  • src.ip.address wurde principal.ip zugeordnet.
  • src.process.parent.image.sha1 wurde principal.process.parent_process.file.sha1 zugeordnet.
  • src.process.parent.image.sha256 wurde principal.process.parent_process.file.sha256 zugeordnet.
  • src.process.parent.image.path wurde principal.process.parent_process.file.full_path zugeordnet.
  • src.process.parent.cmdline wurde principal.process.parent_process.command_line zugeordnet.
  • src.process.parent.image.md5 wurde principal.process.parent_process.file.md5 zugeordnet.
  • src.process.parent.pid wurde principal.process.parent_process.pid zugeordnet.
  • src.process.image.sha1 wurde principal.process.file.sha1 zugeordnet.
  • src.process.image.md5 wurde principal.process.file.md5 zugeordnet.
  • src.process.pid wurde principal.process.pid zugeordnet.
  • src.process.cmdline wurde principal.process.command_line zugeordnet.
  • src.process.image.path wurde principal.process.file.full_path zugeordnet.
  • src.process.image.sha256 wurde principal.process.file.sha256 zugeordnet.
  • src.process.user wurde principal.user.user_display_name zugeordnet.
  • src.process.uid wurde principal.user.userid zugeordnet.
  • src.process.storyline.id wurde principal.process.product_specific_process_id zugeordnet.
  • src.process.parent.storyline.id wurde principal.process.parent_process.product_specific_process_id zugeordnet.
  • mgmt.url wurde target.url zugeordnet.
  • site.id wurde principal.namespace zugeordnet.
  • src.port.number wurde principal.port zugeordnet.
  • dst.port.number wurde target.port zugeordnet.
  • event_data.id wurde metadata.product_log_id zugeordnet.

2022-10-11

Optimierung:

  • threatClassification wurde security_result.category_details zugeordnet.
  • threatConfidenceLevel und threatMitigationStatus wurden security_result.detection_fields zugeordnet.
  • Location wurde principal.location.name zugeordnet.
  • data.filePath wurde principal.process.parent_process.file.full_path zugeordnet.
  • Die Zuordnung (CAT-Wert) „security_result.category_details“ zu „metadata.product_event_type“ wurde aktualisiert.

2022-09-01

Optimierung:

  • Der Name „metadata.product_name“ wurde von „SentinelOne“ in „Singularity“ geändert.
  • event.regValue.key.value wurde target.registry.registry_value_name zugeordnet.
  • principal_userid wurde principal.user.userid zugeordnet.
  • principal_domain wurde principal.administrative_domain zugeordnet.
  • threatInfo.threatId wurde security_result.threat_id zugeordnet
  • threatInfo.identifiedAt wurde metadata.event_timestamp zugeordnet.
  • threatInfo.threatId wurde metadata.product_log_id zugeordnet.
  • security_result.alert_state wurde ALERTING zugeordnet.
  • threatInfo.maliciousProcessArguments wurde security_result.description zugeordnet.
  • threatInfo.threatName wurde security_result.threat_name zugeordnet.
  • threatInfo.classification wurde security_result.category_details zugeordnet.
  • security_result.category wird SOFTWARE_MALICIOUS zugeordnet, wenn „threatInfo.classification“ „malicious“ ist, andernfalls NETWORK_SUSPICIOUS.
  • security_result.action wird ALLOW zugeordnet, wenn threatInfo.mitigationStatus „mitigated“ ist, andernfalls BLOCK.
  • threatInfo.mitigationStatus wurde security_result.action_details zugeordnet.
  • threatInfo.classification threatInfo.classificationSource threatInfo.analystVerdictDescription threatInfo.threatName wurde security_result.summary zugeordnet.
  • threatInfo.createdAt wurde metadata.collected_timestamp zugeordnet.
  • agentRealtimeInfo.accountId wurde metadata.product_deployment_id zugeordnet.
  • agentRealtimeInfo.agentVersion wurde metadata.product_version zugeordnet.
  • indicator.category wurde detection_fields.key und indicator.description detection_fields.value zugeordnet.
  • detectionEngines.key wurde detection_fields.key und detectionEngines.title detection_fields.value zugeordnet.
  • metadata.event_type wurde SCAN_UNCATEGORIZED zugeordnet, wobei meta.computerName nicht null ist.

2022-07-21

Optimierung:

  • „event.source.executable.hashes.md5“ wurde in „principal.process.file.md5“ geändert.
  • „event.source.executable.hashes.sha256“ wurde in „principal.process.file.sha256“ umgewandelt.
  • „event.source.executable.hashes.sha1“ wurde in „principal.process.file.sha1“ geändert.
  • „event.source.fullPid.pid“ wurde in „principal.process.pid“ umgewandelt.
  • „event.source.user.name“ wurde „principal.user.userid“ zugeordnet.
  • „meta.agentVersion“ wurde „metadata.product_version“ zugeordnet.
  • „event.appName“ wurde „target.application“ zugeordnet.
  • „event.contentHash.sha256“ wurde in „target.process.file.sha256“ umgewandelt.
  • „event.source.commandLine“ wurde „target.process.command_line“ zugeordnet.
  • event.decodedContent wurde target.labels zugeordnet.
  • „metadata.description“ wurde von „scripts“ in „Command Scripts“ geändert, wenn „event.type“ „scripts“ ist.
  • Der Anbieter wurde mit „metadata.vendor_name“ abgeglichen.
  • Daten.Dateiinhalts-Hash wurde auf Ziel.Prozess.Datei.MD5 zugeordnet.
  • „data.ipAddress“ wurde „principal.ip“ zugeordnet.
  • activityUuid wurde target.asset.product_object_id zugeordnet.
  • „agentId“ wurde „metadata.product_deployment_id“ zugeordnet.
  • E-Mail-Bestätigung für „user_email“ hinzugefügt, bevor sie mit „principal.user.email_addresses“ verknüpft wurde. Bei Fehlern wurde sie mit „principal.user.userid“ verknüpft.
  • Quell-IP-Adressen wurden principal.ip zugeordnet.
  • „accountName“ wurde mit „principal.administrative_domain“ verknüpft.
  • „activityId“ wurde „additional.fields“ zugeordnet.

2022-07-15

Optimierung:

  • Die neuen Protokolle wurden im JSON-Format geparst und die folgenden neuen Felder wurden zugeordnet:
  • metadata.product_name zu SENTINEL_ONE.
  • sourceParentProcessMd5 zu principal.process.parent_process.file.md5.
  • sourceParentProcessPath zu principal.process.parent_process.file.full_path.
  • sourceParentProcessPid zu principal.process.parent_process.pid.
  • sourceParentProcessSha1 zu principal.process.parent_process.file.sha1.
  • sourceParentProcessSha256 zu principal.process.parent_process.file.sha256.
  • sourceParentProcessCmdArgs zu principal.process.parent_process.command_line.
  • sourceProcessCmdArgs zu principal.process.command_line.
  • sourceProcessMd5 zu principal.process.file.md5.
  • sourceProcessPid zu principal.process.pid.
  • sourceProcessSha1 zu principal.process.file.sha1.
  • sourceProcessSha256 zu principal.process.file.sha256.
  • sourceProcessPath zu principal.process.file.full_path.
  • tgtFilePath zu target.file.full_path.
  • tgtFileHashSha256 zu target.file.sha256.
  • tgtFileHashSha1 zu target.file.sha1.
  • tgtProcUid zu target.process.product_specific_process_id.
  • tgtProcCmdLine zu target.process.command_line.
  • tgtProcPid zu target.process.pid.
  • tgtProcName zu target.application.
  • dstIp zu target.ip.
  • srcIp zu principal.ip.
  • dstPort zu target.port.
  • srcPort zu principal.port.
  • origAgentName zu principal.hostname.
  • agentIpV4 zu principal.ip.
  • groupId zu principal.user.group_identifiers.
  • groupName zu principal.user.group_display_name.
  • origAgentVersion zu principal.asset.software.version.
  • origAgentOsFamily zu principal.platform.
  • origAgentOsName zu „principal.asset.software.name“ ändern.
  • event_type bis FILE_MODIFICATION, wenn „sourceEventType“ = „FILEMODIFICATION“
  • event_type bis FILE_DELETION, wenn „sourceEventType“ den Wert „FILEDELETION“ hat.
  • event_type bis PROCESS_LAUNCH, wenn „sourceEventType“ den Wert „PROCESSCREATION“ hat.
  • event_type bis NETWORK_CONNECTION, wenn „sourceEventType“ = „TCPV4“.

2022-06-13

Optimierung:

  • for [event][type] == fileCreation and [event][type] == fileDeletion
  • event.targetFile.path wurde target.file.full_path zugeordnet.
  • event.targetFile.hashes.md5 wurde target.process.file.md5 zugeordnet.
  • event.targetFile.hashes.sha1 wurde target.process.file.sha1 zugeordnet.
  • event.targetFile.hashes.sha256 wurde target.process.file.sha256 zugeordnet.
  • for [event][type] == fileModification
  • event.file.path wurde target.file.full_path zugeordnet.
  • event.file.hashes.md5 wurde target.process.file.md5 zugeordnet.
  • event.file.hashes.sha1 wurde target.process.file.sha1 zugeordnet.
  • event.file.hashes.sha256 wurde target.process.file.sha256 zugeordnet.

2022-04-18

  • Der Parser wurde erweitert, um alle nicht geparsten Rohprotokolle zu verarbeiten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten